Chat-tjänsten Telegrams VD Pavel Durov greps sent i förra veckan i Frankrike. Enligt TF1 ska han ha gripits när han (mellan)landat på en fransk flygplats, något som tydligen flaggat den häktningsorder som funnits utfärdad på honom för medhjälp till bland terrorbrott, droghandel, bedrägeri och spridning av övergreppsmaterial på barn.
Det är förvisso orimligt att med den typen av svepande ordalag lägga ett rättsligt ansvar på såväl en ägare av en plattform som plattformen i sig, men överlag tycker jag gripandet i sig är rätt ointressant förutom av ett skäl – det ger oss en anledning att återigen prata om Telegrams användarsäkerhet.
Trots att Telegram ofta framställs som en ”säker chat-tjänst” och själva hävdar att den är krypterad så finns det en lång rad frågor om Telegrams egentliga säkerhet. Jag har i tidigare intervjuer lyft några av dem:
”Telegram samlar in onödigt mycket information från användares enheter” … ”Det finns program att ladda ner med vilka man med skrämmande hög precision kan positionera enskilda användare av Telegram baserat på de platstjänster appen både samlar in och läcker”, sa jag exempelvis till Ny Teknik i mars 2022 (här med citat befriade av Dagens PS).
Och i en längre förklarande (och väldigt bra!) artikel av Kalle Kniivilä som ursprungligen publicerats i Sydsvenskan får jag chansen att också utveckla en viktig del av min kritik:
”Väldigt lite [kring Telegram] är verifierat, det har inte gjorts några oberoende genomlysningar av koden” … ”Vi vet inte hur metadata hanteras på Telegram, det finns inga transparensrapporter som alla större, seriösa plattformar har i dag”, noterade jag där – men glömde att tillägga att det också gäller krypteringen.
Och det är bland annat där skon klämmer allra mest. Telegram skryter själva med att man använder sig av superstark kryptering och har till och med utfärdat en belöning till den som lyckas dekryptera Telegram-meddelanden. Fair enough. Men det finns stora brister i hur man hanterar sin variant av kryptering.
Utan oberoende genomlysningar av Telegrams kod finns det inget sätt för användare att veta om påståendet om ”256-bitars symmetrisk AES-kryptering ovanpå 2048-bitars RSA-kryptering med en Diffie-Hellman nyckelutväxling” faktiskt stämmer. Det LÅTER bra, men ÄR det bra? Oklart.
Telegrams påstådda kryptering är dessutom inte på per automatik, utan bara i deras 1-1 ”secure chats”. För att skapa påstått krypterade chattar måste man komma ihåg att kryptering är bra och därefter klicka sig fram fyra gånger i appen. Dessutom kan den påstådda krypteringen bara slås på om motparten är samtidigt online, vilket begränsar säkerheten ytterligare. Gruppchattar går inte alls att kryptera.
Hemlighetsmakeriet och oviljan att i praktiken faktiskt kryptera sin tjänst (samtidigt som man saluför den som ”encrypted messaging”) – parallellt med att det är en av få appar som hävdas vara säkra som är tillåtna och till och med uppmuntrade att användas i Ryssland tycker jag är oerhört anmärkningsvärt.
”Själv är jag lite orolig om myndigheter som vi vet har hög förmåga till övervakning låter en tjänst vara i gång. Det är ett varningstecken”, som Kalle Kniivilä avslutar sin artikel (länkad ovan).
För allt vi vet så kan rysk säkerhetstjänst ha full tillgång till hela Telegram. Eftersom det inte finns någon oberoende insyn i något kring företaget så finns ingen som kan verifiera varken det ena eller andra. Fransk polis vill dessutom lagföra Durov för så allvarliga anklagelser att i varje fall jag skulle anta att de gärna skulle sätta händerna i kryptonycklarna till tjänsten för att få bättre insyn i alla brott man hävdar pågår där.
Kan det bli en byteshandel mellan rättsvårdande myndigheter och Durov? Vem vet?
Det finns helt enkelt inga garantier alls i fallet Telegram – och därför finns inte heller någon rimlig anledning att använda appen.
Ett svar på ”Telegrams VD gripen och här är varför Telegram (fortfarande) är dåligt”